Debian-Sicherheitsankündigung

DSA-292-3 mime-support -- Unsichere Erstellung temporärer Dateien

Datum des Berichts:
22. Apr 2003
Betroffene Pakete:
mime-support
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2003-0214.
Weitere Informationen:

Colin Phipps entdeckte mehrere Probleme in mime-support, das unterstützende Programme für die MIME-Kontroll-Dateien »mime.types« und »mailcap« bietet. Wenn eine temporäre Datei verwendet wird, wird sie unsicher erstellt, was es einem Angreifer erlaubt, willkürliche Dateien mit der Benutzerkennung der Person zu überschreiben, die run-mailcap ausführt.

Wenn run-mailcap auf eine Datei mit einem möglicherweise problematischen Dateinamen ausgeführt wird, wird eine temporäre Datei angelegt (nicht mehr unsicher), gelöscht und ein symbolischer Link auf diesen Dateinamen angelegt. Ein Angreifer kann die Datei neu erzeugen, bevor der symbolische Link angelegt wird und das aufrufende Programm dazu bringen, einen anderen Inhalt anzuzeigen.

Für die stable Distribution (Woody) wurden diese Probleme in Version 3.18-1.3 behoben.

Für die alte stable Distribution (Potato) wurden diese Probleme in Version 3.9-1.3 behoben.

Für die unstable Distribution (Sid) wurden diese Probleme in Version 3.23-1 behoben.

Wir empfehlen Ihnen, Ihre mime-support-Pakete zu aktualisieren.

Behoben in:

Debian GNU/Linux 2.2 (potato)

Quellcode:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.dsc
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.9-1.3_all.deb

Debian GNU/Linux 3.0 (woody)

Quellcode:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.dsc
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/m/mime-support/mime-support_3.18-1.3_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.

MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.

MD5-Prüfsummen der aufgezählten Dateien stehen in der überarbeiteten Sicherheitsankündigung zur Verfügung.